#1: 作者: Edwin, 时间: 2004-11-07 20:03

　　丹麦安全公司Secunia等11月2日公开了在InternetExplorer（IE）6/6SP1中发现的。只要打开做过手脚的HTML文件（Web网页与HTML邮件），就存在运行任意程序的危险。实际上能够突破安全漏洞的HTML文件已被公开。值得注意的是，不仅IE6，利用IE组件的邮件软件等也会受到影响。不过如果安装了WindowsXP SP2，则不会受到影响。

　　此次公开的是无法妥善处理E标签的安全漏洞。具体来说，就是在处理E标签SRC与NAME属性的部分发现了缓冲区溢出漏洞。据称，对FRAME 标签的处理也存在同样问题。因此，如果读取长字符串作为E（/FRAME）标签SRC与NAME属性的自变量，就会发生缓冲区溢出，可能执行任意程序。

　　该安全漏洞最早于10月24日前后被邮件列表等公开，从US-CERT等的信息来看，漏洞是通过验证Web浏览器的工具被发现的。

　　然而11月2日以后，实际突破安全漏洞的HTML文件被公布在邮件列表与Web站点上，因此Secunia将该安全漏洞的危险性设为最严重的“Extremelycritical”。

　　美国微软尚未公开有关安全漏洞的信息与补丁，US-CERT认为目前还没有万无一失的防范措施。

　　不过，安装Windows XP SP2的环境（IE 6）不会受到影响。因此使用Windows XP且安装XPSP2的环境下，XPSP2就算是防范措施了。

　　另据US-CERT的信息称，如果在IE的安全设置中将活动脚本设为无效，就很难突破安全漏洞。实际上，目前被公开的突破安全漏洞的HTML文件就是使用了t。但必须要注意的是，即使将活动脚本设为无效，也并非就一定不会受到安全漏洞的影响。

　　除此之外，US-CERT还列举了“不要点击不可靠的链接”、“将邮件软件设置为不显示HTML邮件”、“切实使用杀毒软件”等几种降低受害可能的方法。（记者：胜村幸博）